Italian Data Protection Authority’s approval of the contact-tracing app Immuni (in Italian)

Dentons
Contact

Dentons

AUTORIZZAZIONE AL TRATTAMENTO DEI DATI PERSONALI ATTRAVERSO IMMUNI

Dopo avere espresso parere positivo sull’art. 6 del D.L. 28/2020 , il 1° giugno 2020 l’Autorità Garante per la protezione dei dati personali (Garante) ha autorizzato il Ministero della salute ad avviare il trattamento di dati personali attraverso l’app Immuni.

L’autorizzazione del Garante ha fatto seguito all’esame della valutazione d’impatto relativa ad Immuni, trasmessa dal Ministero della salute il 28 maggio 2020.

Dopo aver esaminato le caratteristiche dell’app, il Garante ha osservato che “il trattamento di dati personali effettuato nell’ambito di tale Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati attenuandone i rischi derivanti dal trattamento”.

La complessità del sistema di allerta, unitamente al numero di soggetti che ne saranno potenzialmente coinvolti, ha spinto il Garante a fornire alcune prescrizioni, tutte tese da un lato, ad incrementare la sicurezza dei dati personali raccolti e trattati e, dall’altro lato, a aumentare la trasparenza sul funzionamento di Immuni nei confronti dei suoi utenti, con particolare riferimento all’informativa e al messaggio di allerta (anche visto che Immuni potrà essere utilizzata da minori ultra quattordicenni). In particolare, il Garante ha richiesto quanto segue:

  • l’algoritmo deve essere puntualmente indicato e costantemente aggiornato nella valutazione d’impatto, e il suo funzionamento deve essere spiegato agli utenti anche, del caso, attraverso un’infografica;
  • gli utenti devono essere informati del fatto che le notifiche di esposizione al contagio generate dall’app hanno carattere probabilistico e, quindi, dell’eventualità che la condizione di rischio non sia effettiva, fermo restando che devono essere adottate misure tecniche e organizzative tali da ridurre i rischi derivanti da falsi positivi;
  • gli utenti devono poter disattivare temporaneamente l’app attraverso una funzione accessibile direttamente dalla schermata principale;
  • gli analytics raccolti devono essere protetti nel backend di Immuni, così da escludere ogni riassociazione ad interessati identificabili, adottando anche idonee misure di sicurezza e tecniche di anonimizzazione;
  • nel modello di informativa, deve essere inserita la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati;
  • deve essere garantita la trasparenza del trattamento dei dati raccolti a fini statistico-epidemiologici e devono essere individuate modalità adeguate a proteggerli, evitando ogni forma di riassociazione ad interessati identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione;
  • l’informativa e la valutazione d’impatto devono essere integrate per descrivere le modalità di esercizio del diritto di cancellazione e di opposizione;
  • la valutazione d’impatto deve essere integrata con la descrizione del ruolo e delle attività di competenza di tutti soggetti coinvolti nel sistema di allerta Immuni;
  • gli indirizzi IP devono essere conservati solo per il tempo strettamente necessario al rilevamento di anomalie e di attacchi;
  • devono essere introdotte misure per assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;
  • i dati raccolti devono essere trattati esclusivamente per le finalità previste dalla normativa che istituisce l’app.

Entro i 30 giorni successivi alla comunicazione del provvedimento del Garante, il Ministero della salute dovrà comunicare quali iniziative saranno state intraprese al fine di dare attuazione alle prescrizioni impartite dall’Autorità.

Le misure prescritte potranno e dovranno essere adottate nel corso della sperimentazione di Immuni, con l’obiettivo di assicurare che ogni criticità residua sia risolta in fase attuativa.

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.